|
||
| Публикации |
|
Платный хостинг от провайдера HostSpace.com.ua - хостинг, регистрация доменов. Поддержка PHP, MySQL, почта - в каждом тарифном плане.
В данной заметке я рассмотрю сервер с точки зрения хакера, что даст администратору представление о том, на что стоит обратить внимание при защите системы или уже после ее взлома.  Сразу стоит сказать, что одни вообще не ведут логов, другие их не смотрят, а третьи только этим и занимаются. Отбросив все это, мы просто рассмотрим пример защиты от ведения логов — сделаем обзор logwriterов. Итак, второе, что делает хакер после взлома системы, — это модификация или удаление логов. А логов может быть вагон и маленькая тележка. Это, например, всем известный демон syslogd. Потом еще и файл bash_history. Демон cron тоже помогает в этом (для примера, можно копировать выводы команд w, who, last, lastlog через каждую минуту на отдельную машину). Также имеет место установка специализированного софта для слежения за системой. Ну, а грамотная настройка файрволла/IDSа с ведением логом для хакера тоже может плохо закончиться. Что в таком случае делать? Убедившись, что поблизости не наблюдается админа или других полномочных юзеров, можно начать работу. Первое, что нужно сделать, — проанализировать ваш недавний взлом. Обратите внимание на использованные при этом "дырявые" сервисы (ftp, http, ssh, sendmail, pop3 и др.). Возможно, стоит посмотреть файлы /var/log/[сервис]. После этого нужно немедленно заняться стандартным демоном, таким как syslogd. Для этого и нужны logwriterы. Потом можно удалить файл bash_history (или соответствующий используемой оболочке). Не забудьте посмотреть /var/log/secure (это лог-файл TcpWrapperа, который занимается подключениями). Из дополнительного софта чаще всего ставится tripwire. Приемы противодействия можно найти на http://www.void.ru. Стоит сказать, что здесь все зависит от вашей смекалки и обширности знаний в этой области: программы ведения логов сейчас очень продвинулись, в списке процессов их не видно, и в скрытых папках лежат. Умные админы часто применяют различные фичи. Например, syslogd сообщения можно перенаправить на отдельную станцию, на консоль rootа, всем пользователям, что и делается. Таким штучкам довольно трудно противостоять. Очень многие усиленно используют cron, выполняя им, скажем, резервное копирование логов куда-либо. Из этого следует, что лучше все тщательно проверять. Стоит рассказать о IDS/Firewall. Что это такое? Firewall фильтрует пакеты по определенным правилам, а IDS предотвращает записанные в его базу (известные) атаки. Исходя из этого, следует, что такая связка может попортить хакеру много нервных клеток. Разберемся с файрволлом. Во-первых, он редко бывает грамотно настроен. Ну, а если и так, то все правила можно спокойно сбросить, да и обычно все логируется в syslog. С IDSом тоже обычно проблем не возникает, так как его мало кто ставит, также сложная его настройка многих админов просто убивает. Во-вторых, IDS известны только атаки, содержащиеся в его базе, а как часто админ ее обновляет? А если хакер придумал что-то новое, то ему беспокоиться вообще не придется. И все же основная часть модификации логов — logwriterы. Правда, многие используют logwriterы наугад, даже не удостоверившись в их работоспособности. Ниже приведен список программ подобного рода, наиболее часто используемых взломщиками: 1. remove — очищает (очищает — это не удаляет, а просто модифицирует) файлы wtmp, utmp, lastlog. 2. marry — очищает utmp, wtmp, syslog. 3. utclean — очищает wtmp, utmp. 4. zap[2] — очищает lastlog, wtmp. 5. displant.c — очищает utmp. 6. cloak[2] — очищает lastlog, utmp, wtmp. 7. wtmped — очищает wtmp. 8. wzap — очищает wtmp. 9. utmp — очищает utmp. 10. ucloak — очищает lastlog, utmp. 11. sysfog — добавляет поддельные записи в syslogd. 12. stealth — очищает utmp. 13. logwedit — очищает wtmp по номеру tty. 14. logutmpeditor — очищает utmp. 15. logcloak — очищает wtmp, utmp, lastlog. 16. lastlog — очищает lastlog. 17. wipe — очищает wtmp, lastlog, utmp. www.sdteam.com Операционные системы 02-02-2007 Против Microsoft в Китае подан судебный иск 24-10-2008 Операционные системы Против Microsoft в Китае подан еще один иск. На сей раз китайский юрист Донг Дженвей подал иск против корпорации за ее программное обеспечение Windows Genuine Advantage, которое без ведома пользователей Windows устанавливается на компьютеры. Юрист требует в своем иске от Министерства общественной безопасности КНР возбудить против Microsoft дело о "взломе пользовательских компьютеров".Дженвей утверждает, что действия Microsoft с программ... Возможности нового Планировщика заданий в Windows Server 2008 28-07-2008 Операционные системы Планировщик заданий (Task scheduler) в Windows Server 2008 подвергся значительной модификации по сравнению с предыдущими версиями Windows Server. Теперь ключевыми элементами запланированных заданий стали триггеры (Triggers), действия (Actions), условия (Conditions) и параметры (Settings).Набор настроек триггеров и действий запланированного задания в Windows Server 2008 значительно расширился. Среди стандартных триггеров – возможность начинать зад... Как намертво заблокировать процедуру входа в Windows Vista 02-07-2008 Операционные системы Недавно в одной из статей в рамках серии обзоров возможностей Windows Vista я показал, как можно вручную войти в систему Windows Vista на домашнем компьютере: «Как обойти процедуру входа в Windows Vista». Несмотря на то, что данная там инструкция предназначалась для людей, единолично использующих Windows Vista на домашней машине, множество читателей не разделили мнение о том, что можно оставить систему незащищенной.Основываясь на этих отзывах, я ... Оптимизация и настройка служб Windows Vista 25-06-2008 Операционные системы По умолчанию окно Диспетчера задач (Task Manager) выглядит так, как показано на этом снимке. В нём отображены только процессы, работающие под вашей пользовательской учётной записью. Чтобы увидеть также и процессы, работающие под служебными учётными записями, нужно нажать кнопку Отображать процессы всех пользователей (Show processes from all users), которая находится в нижнем левом углу окна.Используйте Диспетчер задач для того, чтобы увидеть все ... Персонализация функции быстрого поиска в меню «Пуск» Vista 19-05-2008 Операционные системы К счастью, функцию быстрого поиска в меню «Пуск» (Start) Vista можно сделать еще удобнее, объединив ее с поиском Google. Для этого придется воспользоваться Редактором локальной групповой политики (Local Group Policy Editor). Чтобы его запустить, нажмите клавиши [Windows]+[R], введите в диалоговом окне «Открыть» (Run) фразу gpedit.msc и нажмите «OK». После этого появится диалоговое окно системы Контроля учетных записей пользователей (UAC), в котор... Использование утилиты проверки диска Check Disk в системе Windows Vista 13-05-2008 Операционные системы Утилита «Проверка диска» (Check disk) операционной системы Windows Vista позволяет проверить целостность диска, выявить повреждённые сектора и восстановить информацию.Щёлкните правой кнопкой на пиктограмме нужного диска и в раскрывшемся контекстном меню выберите пункт «Свойства» (Properties), как показано на изображениях A и B.Изображение A.Изображение B.В диалоговом окне «Свойства» (Properties) перейдите на вкладку «Сервис» (Tools) и нажмите кно... |
При любом использовании материалов сайта ссылка на сайт www.archive.com.ua обязательна.
